安全设计方案范文(精选6篇)
安全设计方案 第1篇
班主任举办消防安全主题班会目的是为了让学生掌握更多消防安全知识,以下是小编精心收集整理的消防安全班会方案,下面小编就和大家分享,来欣赏一下吧。
消防安全班会方案1
(一)班会目的:
1.使学生知道一些简单的安全常识。
2.使学生掌握一些在家遇到火灾的处理方法。
(二)活动地点:教室
(三)教育重点:学习防火的生活常识,培养有关防范力。
(四)班会流程:
1、第一组代表表演防火:(一人读情节过程,三人表演)
2、大家认真观察表演后讨论:
(1)发生了什么事?他们是怎么处理的?发生火情应该怎样与消防队取得联系?(打火警119、讲清出事地点详细地址、火势情况)
(2)总结:情景表演向我们介绍了哪些方面知识。还有什么情况可能发生火灾?发生火灾怎么办?怎样防火?打什么电话求救?
3、学习防触电知识的情景表演:
(1)第二组代表表演:
(2)大家认真讨论观察表演后讨论:
a.提问:发生了什么事?他们是怎么做的?
b.总结:情景表演向我们介绍了哪些方面知识?还有什么情况可能发生触电危险发生触电应怎么办?怎么防止触电事情发生?出了事打什么电话求救?
(五)巩固总结
1、火警、急救中心电话各是什么?着火打119,急救中心120。
2、遇到火情,危险情况时,要保持镇静,迅速采取有效措施。
注意事项:
防火:不要在易燃物品(棉织物、柴草堆、木板堆、柴油汽油库等)附近玩火、放鞭炮。注意(液化气)灶的合理使用,用完电熨斗、电炉后应立即拔出插头。
(六)学生发表本节班会课的感想
(七)班主任总结
同学们,生命像是一根丝线,一端系着昨天,一端系着明天。站在两端之间,我们才知道:因为生命,我们才会拥有今天,因为今天,我们的生命才得以延续。
生活中总有一些突发事件,这些突发事件并不可怕,可怕的是没有自救互救的意识和解决问题的能力。今天我们的目的便是培养大家的这种意识和能力,在紧急时刻我们能用自己的经验和知识去保护自己和他人的生命。
消防安全班会方案2
【教学目标】
1、通过对火灾事件的了解提高学生的防火意识。
2、掌握火灾中的自救常识。
3、加强防火意识,学习必要消防知识。
4、通过本节课的学习增强学生火场逃生自救能力。
【教学重难点】通过对火灾事件的了解提高学生的防火意识,充分了解火灾中各种逃生自救的办法。
【授课方法】讲授分析、讲案例组织学生讨论
【授课过程】
Ⅰ、我市火灾新闻记实情况导入:
2008年3月5日凌晨3时30分许,福利院护理员在巡房时发现儿童部一楼2103房门有烟冒出,随即开门,见室内一床上棉被在阴燃,室内有4张床,每张床各睡2名儿童,门窗紧闭,充满烟雾,随即呼唤值班员、保安员将儿童抱出抢救,并自行用水把阴燃的被褥扑灭。市、区两级民政、公安、消防部门接报后,第一时间赶赴现场,组织抢救工作。由于受烟熏时间过长,8名儿童经抢救无效死亡。事故原因是由于智障残疾儿童睡着后被褥掉在点燃的蚊香上引起阴燃,产生大量浓烟,造成窒息死亡。
2009年1月31日6时左右,惠州市惠城区三栋镇革新路53号一民宅发生火灾,经三栋消防中队和麦地消防中队全力扑救,终于将大火扑灭,烧毁家用电器,烧死妇女一名,女,汉族,77岁,系惠州市三栋镇人,患有严重的痴呆症,生活不能自理),Ⅱ、火灾自救知识
遇到火灾时我们怎么办?
(一)、灭火
灭火最重要时效,能于火源初萌时,立即予以扑灭,即能迅速遏止火灾发生或蔓延。此时应迅速辩明火源、起火类型、所引燃的物质,采取相应的应对措施,利用灭火器或消防栓之水进行灭。如无法迅速取得这些灭火器具,则可就近取材,利用棉被、窗帘等沾湿或用沙石、泥土来灭火。但如火有扩大蔓延之倾向,则应迅速撤退至安全检查之处所。
(二)、报警
发现火灾时,应立即拨打119、110报警,同时亦可大声呼喊、敲门、唤醒他人知道火灾发生。在报警时,切勿心慌,一定要详细说明火警发生的地址、处所、建筑状况等,以便消防车辆能及时前往救援。
(三)、逃生
1、要镇静,保持清醒的头脑,不能盲目追随。
当人的生命突然面对危难状态时,极易因惊惶失措而失去正常的思维判断能力,当听到或者看到有什么人在前面跑动时,第一反应就是盲目追随其后,如:跳窗、跳楼、逃(躲)进厕所、浴室、门角。突遇火灾时,首先应当令自己保持镇静,迅速判断危险地点和安全地点,利用自己平时掌握的消防自救与逃生知识,决定逃生的办法,尽快撤离险地。撤离时要注意,不可搭电梯,因为火灾时往往电源会中断,会被困于电梯中,应从安全通道逃生,能沿着墙面行时,当走到安全门时,即可进入,避免发生走过头的现象;尽量朝明亮处或外面空旷地方跑,若通道已被烟火封阻,则应当背向烟火方向离开,通过阳台、气窗、天台等往室外逃生。
2、留得青山在,不怕没柴烧,不要要因为贪财而延误逃生时机。
在火场中,人的生命是最重要的。身处险境,应尽快撤离,不要因害羞或顾及自己的贵重物品,而把宝贵的逃生时间浪费在穿衣或寻长搬离贵重物品上。已经逃离险境的人员,切忌重回险地,自投罗网。
3、做好简易防护,匍匐前进,不要直立迎风而逃
逃生时经过充满烟雾的路线,要防止烟雾中毒,防止窒息。为了防止浓烟呛入,可采用毛巾、口罩用水打湿蒙鼻、匍匐撤离的办法。烟气较空气轻而飘于上部,贴近地而撤离是避免烟气吸入,滤去毒气的方法。
4、找好避难场所,固守待,不要盲目向光朝亮处奔。
如各种逃生路线被切断,应退居室内,关闭门窗,有条件可向门窗上浇水,以延级火势蔓延。同时,可向室外扔出小东西,引起别人注意,在夜晚可向外打手电,发出求救信号。切忌向光朝亮,这是在紧急危险情况下,由于人的本能、生理心理决定,人们总是向着有光,明亮的方向逃生,光各亮就意味着生存的希望,它能为逃生指明方向道路,避免瞎撞乱撞更易逃生,但这时可能电源已切断或已造成短路、跳等,光和亮之地正是最危险之处。
5、缓降逃生,滑绳自救,绝对不要冒险跳楼。
高层、多层公共建筑内一般都设有高空缓降器或救生绳,人员可以通过这些设施安全地离开危险的楼层。如果设有这些专门设施,而安全通道又已被堵,救援人员不能及时赶到的情况下,绝对不要放弃求生的意愿,此时当力求镇静利用现场之物品或一形地物,设法逃生。
Ⅲ、小结:
只要我们处处小心,注意安全,掌握自救、自护的知识,锻炼自己自护自救的能力,机智勇敢的处理遇到的各种异常的情况或危险,就能健康地成长。
消防安全班会方案3
一、教学活动目的:
1、宣传学习并贯彻我国“预防为主,防消结合”的消防工作的基本方针,基本法规。
2、了解消防安全常识,火灾扑救常识,重视安全,珍惜生命。
3、了解正确使用液化气,煤气,电器,掌握灭火方法,自救与逃生的方法,化险为夷,转危为安。
二、活动准备:
师生搜集一些“消防安全事故”实例。
三、活动过程:
(一)导入。
(1)教师讲述两个“火灾案例”以引起学生注意。
案例一
2003年2月23日,河南省新野县某小学四年级七名学生中午放学后,到学校附近的个体电气焊修理部门前玩耍。其中1人出于好奇,用火柴点燃自制电石桶(乙炔发生器)的细钢管口,引起爆炸。当场炸死2人,重伤1人,轻伤2人。
案例二
2005年4月5日上午,山西省某煤矿第二小学四年级共195名学生,在10名老师带领下,到七、八里外的山上春游,发生因学生野炊引发大火,当场烧死学生29名,重伤1名,轻伤3名的恶性事故。
(2)学生分组讨论(四人小组)“消防安全事故”实例,把所见所闻讲述给同组同学听,以增强火灾预防意识,安全意识。
(二)分组讨论“消防安全”应注意的事项,火灾扑救的方法,及逃生方法。
(1)校园防火应注意什么?
(2)如何使用液化气、煤气?
(3)如何使用电器?
(4)外出野炊应注意什么?
(5)发生火灾时应如何报警?
(6)火灾扑救有哪些方法?
(7)人身着火时如何自救?
(8)楼房着火如何逃生?
(9)山林着火如何逃生?
四、了解一些火灾原因
(1)了解电吹风引起火灾原因
第一,电吹风正在使用时,因有其它事情走开(如接电话、有人敲门去开门等),随手将电吹风往木台上一搁,并完全忘记了使用过电吹风的事,结果长时间搁置,于是电吹风外壳的高温便引燃可燃物。
第二,在使用电吹风时遇上停电,在未断电源的情况下去处理其它事情或外出,待恢复通电以后电吹风的电热丝长时间加热,温度升高,引起火灾。
(2)烟头引起火灾原因
烟头虽是个不大的火源,但它能引起许多物质着火。烟头表面温度为200~C一300~C,中心温度为700~C~800~C,—般可燃物的燃点大多低于烟头表面温度,如纸张为130~C,布匹为200~C,松木为250~C。一支香烟延烧时间为4~15分钟。在这段时间内能将一般可燃物点燃,经过一段时间阴燃后,便着火燃烧。据在自然通风条件下试验,将烟头扔进深5厘米的锯末中,经过75~90分钟阴燃,便开始出现火焰:将烟头扔进5~10厘米的刨花中,有75%的机会,经过60~100分钟即开始燃烧。而对化学危险物品来说,香烟明火会立即引起它们发生燃烧爆炸。
消防安全班会方案4
活动主题:消防安全主题班会
活动对象:小学,初中,高中
活动背景:近期的几次火灾触目惊心,而且人们面对火灾时的态度、行动直接影响了是否能安全逃生。
活动目的:希望通过本次班会活动让学生学会面对一些突发事件时的沉着冷静的逃生、自救。
活动准备:多媒体设备、灭火器、酒精、棉絮和铁桶
活动过程:
一、创设情景,引入主题:
请同学们观看下面几幅图片(PPT展示)
20__年7月14日印度南部泰米尔纳德邦的一所中学发生火灾,造成175名师生伤亡。其中绝大部分是女生,数名教师也在火灾中死亡。另外还有100人受伤。
20__-03-14日,南京东南大学一办公楼发生火灾,受灾面积达1000平方米,消防部门出动10余辆消防车150人扑救,大火经过7个多小时被朴灭。
上海“11?15”特别重大火灾事故遇难人数上升到58人,其中男性22人,女性36人。火灾发生后,上海市静安区共接到向街道等单位申报的失踪人员56人。目前,遇难者与家属的DNA比认工作正在进行中。
主持人:亲爱的同学们:火是人类的朋友,它带给我们光明。推动着人类社会走向文明。但火,能烧掉茂密的森林,广阔的草原,高大的楼房,甚至夺取人们宝贵的生命。失去控制的火会成为一种具有很人破坏力的灾害。那应该怎样防火,救火呢?今天的班会,我们大家就一起来讨论一下吧。
二、学会防火:
安全使用火、电,提高防范意识。
1.学校防火:
(1)严禁学生携带_入校。(2)不要乱烧废物。
(3)实验用的易燃物品要妥善使用。(4)经常检查电器。
(5)设置消防器材,不破坏消防器材。(6)宿舍的安全防火。
2.公共场所防火
学生要做到:
(1)不携带_到公共场所。(2)不准玩与火有关的游戏。
(3)不准学生在山林野炊。
三、学会逃生
主持人:我们同学平时收集的资料有哪些逃生的方法。跟你的同桌讨论交流一下你知道的逃生小秘诀。
1.小组讨论交流。
2.集体交流:
(1)在火灾现场,可以把衣物打湿,披在身上。
(2)可以用手帕捂住鼻子
(3)楼下发生火灾时,往楼上跑;楼上发生火灾时,往楼下跑。
(4)发生火灾时,不要慌张,要保持冷静的头脑。
(5)无奈之时,可以用窗帘相互_,从窗口逃生。
(6)发生火灾时应该先拨打119报警,等待救援。
主持人:我们的同学们说的很不错,那么先让我们看看来看看专业人士给予我们火场逃生的一些方法。播放《火场逃生》视频。
四、学会灭火
支持人:灭火的基本方法有哪些?
1.小组讨论交流。
2.集体交流:
冷却灭火法,就是将灭火剂直接喷洒在燃烧着的物体上,将可燃物质的温度降低到燃点以下,终止燃烧。如用水灭火。
隔离灭火法,就是将燃烧物体与附近的可燃物质隔离或疏散开,使燃烧停止。窒息灭火法,就是阻止空气流入燃烧区,或用不燃物质冲淡空气,使燃烧物质断绝氧气的助燃而熄灭。如用泡沫灭油类火灾。
抑制灭火法,也称化学中断法,就是使灭火剂参与到燃烧反应历程中,使燃烧过程中产生的游离基消失,而形成稳定分子或低活性游离基,使燃烧反应停止。如干粉灭火剂灭气体火灾。
主持人:灭火器怎么使用呢?
1.小组讨论交流。
2.集体交流:
(1)泡沫灭火器的使用方法:主要适用于扑救各种油类火灾、木材、纤维、橡胶等固体可燃物火灾.。有手握着压把,左手托着灭火器底部,轻轻地取下灭火器。右手提着灭火器到现场。右手捂住喷嘴,左手执筒底边缘。把灭火器颠倒过来呈垂直状态,用劲上下晃动几下,然后放开喷嘴。
(2)干粉灭火器的使用方法:适用于扑救各种易燃、可燃液体和易燃、可燃气体火灾,以及电器设备火灾。有手握着压把,左手托着灭火器底部,轻轻地取下灭火器。右手提着灭火器到现场。拔掉铅封,保险销,左手握喷管,右手提着压把。在距离2米远的地方,右手用力压下压把,左手摇晃喷嘴,是干粉覆盖整体燃烧区。
五、逃生体验,增强意识。
主持人:面对火灾,人们的生命显得那么脆弱。今天我们学习到了火灾现场逃生的方法,那么让我们实际演练一下,以防患于未然。
1.选几名学生在班长带领下做好准备活动。
2.放置火灾道具。
3.查看逃生路线。
4.在老师带领下分组疏散逃生。
六、小结,评价。谈谈收获与体验。
消防安全班会方案5
王:老师同学们,大家好!火是人类的朋友,它带给我们光明,推动着人类社会走向文明。但是,火一旦失去控制就会造成灾难,古往今来,多少无情的火灾不胜枚举。血淋淋的教训又一次地给我们敲响警钟:防火安全,重于泰山。基于此,为了增强同学们的安全防范意识,提高大家的自护自救能力,我们准备了这次《消防安全》的主题班会。在这次班会上,我们将通过各种形式来掌握防火安全知识,从而避免火灾事故的发生。
高:大家知道什么是消防吗?
汪:“消防”即预防和扑灭火灾的意思。中国已有两千多年的消防历史,“消防”一词是二十世纪从日本引进的,是一个外来语。但“消防”的根在中国。
许:那么,如果着火了,我们该怎么办呢?
高:发生火情,同学们一定要保持镇静。火灾初起阶段,一般是很小的一个小点,燃烧面积不大,产生的热量不多。这时只要随手用沙土、干土、浸湿的毛巾、棉被、麻袋等去覆盖,就能使初起的火熄灭。如果火势十分猛烈,正在或可能蔓延,切勿试图扑救,应该立刻逃离火场,打119火警电话,通知_救火。
王:起初火灾如何报警呢?
汪:可拔打火警电话119。没有电话或没有_的地方,如农村和边远山区,可以打锣敲钟、吹哨、喊话向四周报警,动员乡邻一齐来灭火。
高:报警时要讲清着火单位、所在区(县)、街道、门牌等尽量详细的地址。
许:尽可能说清着火部位、着火物质、火情大小。
汪:讲清报警人姓名、电话号码和住址。
高:报警后要安排人到街道口等候消防车,指引消防车去火场的道路。
许:遇有火情,不要围观。有的同学出于好奇,喜欢围观消防车,这既有碍于消防人员工作,也不利于同学们的安全哦。
王:当然啰,大家不能随意乱打火警电话哦。假报火警是扰乱公共秩序、妨碍公共安全的违法行为。如发现有人假报火警,要加以制止。
高:那么当你遇到火灾时应如何逃生呢?
许:火灾袭来时要迅速疏散逃生,不可蜂拥而出或留恋财物,要当机立断,披上浸湿的衣服或裹上湿毛毯、湿被褥勇敢地冲出去,但千万不要披塑料雨衣。
汪:如遇到身上着火,可就地打滚,或用厚重衣物覆盖压灭火苗;如遇到在浓烟中避难逃生,要尽量放低身体,并用湿毛巾捂住嘴鼻。
高:大火封门无路逃生时,可用浸湿的被褥衣物等堵塞门缝,泼水降温,呼救求援;火灾袭来时,身处楼上的人员应判清火情,保持镇静,不可盲目跳楼,可用绳子或把床单撕成条状连起来,紧拴在门窗框和重物上,顺势滑下。
许:当被大火围困又没有其他办法可自救时,可用手电筒、醒目物品不停地发出呼救信号,以便_及时发现,组织营救。
高:同学们请看这是我们日常经常看见的灭火器,当火势较小的时候,我们可以采用灭火器救火,灭火器的使用步骤分为三步,第一步、掉拔灭火器上的插销;第二步、用手握住粉管;第三步、用力压下手柄,但是同学们一定要记住,我们要站在上风口,对准火苗根部_就可以了。
汪:听了我们的介绍,同学们一定对消防有所了解了吧,下面我就出几条关于消防的题目考考大家,大家请看:
1.我们住的高楼着火了,我们应该怎样逃生:(C)
A坐电梯逃生
B打开窗户跳下去。
C沿着防火通道朝着楼下跑。
许:在火场中,充满了各种各样的危险:烈焰、高温、毒气等。下面几种保护措施,哪一条是不对的(A)
A在火场中站立、直行,并大口呼吸。
B迅速躲避在火场的下风处
C用湿毛巾捂住口鼻,必要时匍匐前进。
高:家里烧菜油锅着火,正确的灭火方法是(B)
A赶快去端油锅。
B用锅盖盖灭。
C用水浇。
汪:全国消防宣传日是(B)
A.1月19日B.11月9日C.9月11日
许:家中经常使用的物品中属易燃易爆物品的是(A)。
A.摩丝B.餐洗剂C.洗发水
高:单位或家庭维修中使用溶剂和油漆时除了杜绝一切火种,还应该注意(C)。
A.湿度B.温度C.通风
汪:据统计,火灾中死亡的人有80%以上属于(B)。
A.被火直接烧死B.烟气窒息致死C.跳楼或惊吓致死
许:消防车和消火栓的颜色是(C)。
A.白色B._C.红色
汪:到床底、阁楼找东西时,应用(A)照明。
A.手电筒B.油灯C.蜡烛
许:当遇到火灾时,要迅速向(C)逃生。
A.着火相反的方向B.人员多的方向C.安全出口的方向
高:火灾初起阶段是扑救火灾(B)的阶段。
A.最不利B.最有利C.较不利
汪:在相对封闭的房间里发生火灾时(A)。
A、不能随便开启门窗B、只能开窗C、只能开门
许:“隐患险于明火,防范胜于救灾,责任重于泰山”,是哪位国家领导人对消防工作的题词(C)?
A、_B、_C、_
高:被困在火场时,下列求救方法错误的是(C)
A、在窗口、阳台或屋顶处向外大声呼叫B、白天可挥动鲜艳布条发出求救信号,晚上可挥动手电筒C、大声哭泣
王:同学们,生命只有一次,它是那么的宝贵,又是那么的脆弱,我们要珍
珍惜自己和他人宝贵的生命。让我们都树立消防意识,争做消防安全小卫士。
那样我们的生命会更快乐,更幸福,更美好!本次的班会到此结束,谢谢大家!祝同学们学习进步.....
安全设计方案 第2篇
物理方面
比如机房的安全,物理服务器的安全,硬盘的安全。有人可能会问,我的服务器是放在云上的,存在物理方面的安全吗?当然,对于企业而已,云端的物理安全是不需要过于担心的,因为云提供方会对他们的云机房做物理安全监控,但其实有很多信息在初期也是需要考察的,比如云机房的监控,云机房的人员访问审查,云机房的高可用,云服务器的使用时长等等。
举个例子
在这里举个例子,我们的服务器使用时间大概已经有5年时间,主板电池有些问题,服务器一旦重启就会刷新时区,比正常的业务时间慢8个小时,HTTPS校验时间时就出了问题,导致业务进不来。Crontab的执行时间同步一旦没有达到秒级就会存在这个问题,但是正常谁会把时间同步定义到秒级呢?这个问题直接导致了业务的瘫痪,所以在选择云供应商的时候一定要询问他们的宿主机使用时长。
云物理监控需要看什么?
比如需要监控进出机房的人员,早些时候会有一些编外人员以云提供商的身份进入云机房进行数据窃取,这方面国外最严重,国内经过管控已经好很多,但是物理监控依旧不能掉以轻心。
数据方面
数据安全,比如存放的数据加密,必要时需要脱敏处理,加密尽量采用双层加密,这里分享一下我的做法:
原始数据的脱敏处理(由于是互联网金融行业,会存在个人信息的传输,存储中如非必要,这类信息是不允许存储的,需要脱敏,比如银行卡号保留前4后4位等作为支付依据,核对时核对关键信息)。
第一层采用3DES加密算法,把数据进行加密;
第二层采用RSA强加密算法(2048位)加密3DES的密钥;
最终密钥存放于加解密系统中,此系统会对存放的密钥做乱序处理,只有相关权限的人申请,拿到乱序的密钥,通过CEO或CTO授权,由密钥负责人做恢复处理,才能拿到密钥。
这块虽然流程会很麻烦,但是能够最大程度的保障数据的安全。
应用方面
其实应用安全是攻击者们最喜欢攻击的方面,也是最容易被攻击的方面,如何做好应用安全,决定了黑客们能否攻进或者攻进的难易程度。下面从几个方面来讨论我对于应用安全的处理办法:
1
谁
首先其实看到这个小标题,相信有很多人是懵的,简单讲述一个小例子好了,我用Jenkins举例,Jenkins是开源的自动化项目部署平台,一般项目做发布的时候使用的,与Apollo不一样,具体差异我并没有研究,但是为了结合项目架构,两套自动化部署平台我都有搭建,Apollo更多体现在微服务化,Jenkins更多是使用项目发布。
Jenkins在刚刚安装好的时候会设置访问矩阵,就是说授权什么人做什么事情,比如运维授权做项目发布,脚本执行,审计授权做日志查看等等,这个时候其实有几种不正常的行为:
(1)未授权访问
未授权访问是指没有被授权的用户可以访问到系统中,并拥有授权用户的权限。
还是以Jenkins举例,早期的Jenkins初始化后是没有访问矩阵配置的,造成很多使用者不了解,同时也不知道未授权访问的危害,在公网上暴露的Jenkins数不胜数,或许使用者自己都没有发现,登录Jenkins,空用户名、空密码是可以登录的,这在访问矩阵中是everyone的身份,可怕在于everyone默认是有所有权限的,直接导致任何人只要发现Jenkins未授权访问,就可以进入到Jenkins中并且执行shell命令,这在Jenkins中是客观存在的,放下截图。
同样存在未授权访问这个问题的还有很多,比如zeppelin、redis、zookeeper、elasticsearch、docker、hadoop等等。
这里我的建议是做好“谁”的把控,控制好所有的应用访问权限,什么人访问什么系统,拥有什么权限,当然这里人的判断依据最好是双因素判断。
并且应用系统最好是放在内网并做访问控制,即使爆出0day也不会第一时间被扫到利用。
公网上开放的应用越少,相对黑客的攻击层面就越少,攻击难度也就越大。
(2)越权访问
越权访问是指合法用户,指定A权限,但却可以做B权限能做的事情。
在这里还是以Jenkins为例:
在这里直接贴个漏洞编号,有兴趣的可以查一下,这个漏洞虽然官方说是严重级别,但是我给他评级只能评中危,因此没有详细贴出来。
因为此漏洞是需要Jenkins重启,然而一般这种放在生产环境的运维工具是极少有重启的机会的,除非配合DoS攻击或者等待机房故障等不可逆因素。
漏洞整体描述是攻击者可利用CVE--001漏洞从Jenkins主目录下移除 config.某ml 配置文件到其他目录,当Jenkins 服务再次重启时,因加载不了config.某ml中配置的安全域和授权策略,退回 legacy 模式,并且赋予匿名用户管理员访问权限。
当攻击者获取Jenkins权限后,可查看构建历史数据,甚至可下载工作区的代码,导致核心代码泄露。
攻击者在进入管理页面后,可通过“系统管理”下的“脚本命令行”功能,执行用于管理或故障探测或诊断的任意脚本命令,对Jenkins系统服务器产生比较严重的影响和危害。
实际上是就是越权访问改动了config.某ml文件,之后通过未授权访问入侵服务器。
越权访问一般是由于权限管控不当而发生的,我的建议是在权限规划时,执行最小权限管控,分的稍微细致一些,并且认证一定要做好,每一个都需要认证机制,这样能够最大程度降低越权访问发生的可能。
(3)绕过认证访问
早期比较流行,比如在认证页面,正常输入用户名密码,通过sql注入的方式使sql语句成为真值的计算,便可以跳过认证,进入系统中。
目前也有不少CMS系统存在绕过认证访问。或通过撞库的方式也算是绕过认证。
之前Akamai有个统计,从11月初到6月末,Akamai的研究分析结果显示,恶意登录尝试在8个月内超过300亿次。
全球恶意登录的次数在不断增加,情况不容乐观。面对如此严重的暴力撞库攻击,有什么好办法可以避免吗?
其实很多人会想到双因素登录,但是同样有很多人分不清双因素登录与双因子登录的区别。
双因素登录是指在登录时同时验证传统密码与第二因素认证,而双因子登录是指先认证传统密码,成功后再认证第二因素。
这两者区别就在于双因素无法判断密码是否是正确,而双因子即使有第二因素,还可以爆破出密码,然后通过此密码进行撞库。
在这里有个假设,一旦企业邮箱的密码与爆破出的密码是同一个,那么企业信息泄露,甚至是专业的社工钓鱼便会如梦魇一般围绕着你,围绕着企业。
在这里建议是使用双因素登录认证来规避绕过认证访问的问题。
2
做什么
通过行为判断是否异常。一般来说,正常用户不会执行异常请求。还是用Jenkins举个例子:
正常用户,比如运维,执行脚本一般会执行项目替换代码,比如编译jar包,比如替换等等;
入侵者在拿到命令执行权限的时候第一时间使用的命令一般是身份类型命令,比如whoami、w、last等等;
然而这些信息一般Jenkins正常操作都是用不到的,需要做管控。当然Jenkins本身权限要执行权限最小化,那也当然不可能是root,在执行时也同样会增大入侵难度。
3
怎么做
这一点要考虑黑客可能通过什么手段入侵应用,最常见的OWASP TOP10中的SQL注入、某SS、某某E、恶意文件上传、CSRF、SSRF等等,基于这些攻击手段建议采用WAF来阻断恶意攻击,具体后续会分享开源WAF体系的建设,包括WAF本身与日志审计、告警工作,感兴趣可留言讨论,欢迎关注。
主机层面
主机安全是相对于以上所有安全中最难把控的,包括服务器安全和终端安全。
技术层面的安全相对来说比较好把控,包括服务器终端的基线安全、杀软、访问控制等等,但是最不好把控的其实是人为的因素。
案例一大把,随便举例子,员工私设WiFi设置弱口令导致黑客连接到企业内网,进行内网入侵;员工浏览恶意网站导致终端植入感染病毒,传播扩散到企业内网。
这种事情还有很多,凭借管理制度并不足以防止此类事件的发生,那么主机安全应当如何做?在这里分享我的治理方法:
首先服务器使用ansible推送安装Clam,定期进行查杀,这里可以使用crontab进行定时任务,并将结果反馈,反馈可以通过filebeat传递到日志分析中去做,告警也在日志分析中规范告警条件。
终端以360为例,统一管控,360有服务端和客户端,在服务器设置统一管控密码,客户端分发安装到各终端,终端便会定时杀毒,而且不能被关闭。
定期开展企业培训,提高所有人的安全防范意识,在路由器上设置访问控制,禁止访问有害网站(利用爬虫做黑名单访问控制)。
网络层面
网络层面重点体现在防火墙管控DMZ区的流量进出,管控跨网之间的访问哪些属于合规哪些不合规。
举个例子,假如说我的某一个业务放在阿里云,监控体系与主体业务在腾讯云,由于成本问题我不想在阿里云单独建立一套监控体系,只想延用腾讯云的监控体系,但又要保证业务之间的隔离,那么这时候就要在云两端架设VPN,并且设置仅允许监控系统与业务之间互相访问。
但是要保证VPN的稳定性,在目前国内的形式来说应该是挺难的,尤其前段时间的护网行动,VPN基本每天都断上几次。
多链路可靠访问是针对网络堵塞、大环境网络故障、意外攻击等情况设计的业务可用性的体现。
试想一个业务域名,比如e某.com,当遇到DDoS攻击时,大量的商户访问不到业务域名,造成的损失有多大;
或者大环境网络出现故障,比如前段时间发生的114DNS故障导致域名无法访问、中间节点路由出现故障等等,造成的损失也是巨大的。
这时多线路解析以及双线路出入口的设计能够最大程度保证业务的可用性,也就是我们所说的CDN和双出口。
4A统一安全平台设计方案 第3篇
随着企业业务发展迅速, 各种IT应用系统和用户数量不断增加, 分散的业务应用、信息孤岛存在安全和管理问题:各应用不在统一的安全平台上, 有不同的授权机制和验证方式, 开发和维护费用很大;没有统一的安全平台, 以后开发新的应用, 用户需要记忆多个用户名/和密码, 做多次登录, 用户满意度低;各应用条块分割, 封闭的用户验证方式, 不能安全和方便的扩展业务到合作伙伴, 不利于业务的扩展;没有集中统一安全管理机制, 管理费用很大;没有统一标准的安全验证、访问、授权、审计平台, 没有一致的安全等级保护, 没有统一的安全策略, 存在安全风险;没有集中的安全审计, 统一审计各应用的安全事件。所以需要建设集中统一的安全平台, 各个应用在统一平台上作认证和授权, 使得管理人员可以对IT系统的用户和各种资源进行集中安全管理、集中权限分配、集中审计, 从而保证业务的统一安全管理。统一安全平台包括认证 (Authentication) 管理、授权 (Authorization) 管理、用户 (Account) 管理、安全审计 (Audit) , 简称4A统一安全平台。
2 4A统一安全平台设计
2.1 整体设计
4A统一安全平台解决方案由3个模块组成: (1) 安全访问管理 (SAM) :提供统一认证、授权功能 (Authentication, Authorization) ; (2) 统一用户管理 (IAM) :提供统一用户管理功能 (Account) ; (3) 统一安全审计 (AUDIT) :提供统一审计功能 (Audit)
2.1.1 安全访问管理
(1) 统一身份认证。原来分散的各个应用分别验证, 统一到SAM平台。支持多种身份认证方式。
(2) 安全等级保护。不同等级的应用采用不同级别的权限控制和身份验证。
(3) 多种单点登录。实现多种环境和多种方式的单点登录。
(4) 统一访问控制、集中授权管理。以用户为中心的基于角色的安全策略管理。
(5) 统一密码策略管理。统一密码策略管理, 增强用户名/口令的安全性。
2.1.2 统一用户管理
(1) 用户自助服务:提供灵活的可定制的WEB界面, 用户可以自助更改信息, 统一更改密码等;提供用户自登记界面, 用户在网上自助登记信息后。
(2) 自动工作流:自动执行用户审批管理流程 (用户开户、改变、悬挂、删除等) , 为客户提供可定制的工作流程。
(3) 分权管理:可有选择性地向一些人员和部门 (无论内部与外部) 分派适当的管理权。可控制的用户管理委派功能能够显著改善IT组织及其他组织 (赋予了用户支持任务) 的管理伸缩性。
2.1.3 统一安全审计
Audit统一审计各个层面的安全事件, 包括用户认证证事件、用户访问事件等, 数据库的事件, 应用系统的事件等, 进行安全分析和报表。
2.2 部署架构图
4A平台部署示意图如图1:
(1) SAM:部署SAM Policy Server服务器, 在各应用系统的WEB Server/Web ApplicationServer上安装sam agent。通过SAM, 将各种应用系统整合成统一应用, 并且作统一授权和集中用户管理。
(2) Identity Manager:部署Identity Manager服务器, 可以通过LDAP或ODBC等方式集中管理用户。
(3) Audit:部署Audit统一安全审计服务器, 实时收集SAM的日志 (登录日志、验证日志、访问日志、授权日志等) , Identity Manager的日志 (增加用户、修改用户、删除用户等日志) , 应用系统的日志, 证书认证系统的日志, 实时处理, 统一日志格式, 统一查询过滤和分析。从不同的角度分析用户的行为。
3 关键业务流程介绍
3.1 统一认证
通过SAM整合各个应用的安全孤岛, 采用统一身份验证。采取多种安全认证方式, 丰富的认证策略支持。并且可以遵照国家信息安全等级保护条例的要求, 重要应用采用更高安全等级的身份验证 (双因素令牌卡或生物认证等) 。
如图2所示, SAM工作过程: (1) 用户试图访问某项受保护的资源; (2) 安装在web服务器上的agent要求用户认证; (3) 系统根据用户库对用户进行身份确认; (4) 策略服务器评估用户的权限, 并授予切当的访问; (5) 用户验证信息被传递给应用的Web Agent; (6) 用户获得对应用的访问, 该应用提供相应的内容。
3.2 单点登录
SAM实现多种环境和多种方式的单点登录, 例如: (1) 通过一次身份认证后, 在所有相同安全等级的应用中单点登录; (2) 通过一次高安全等级身份认证 (例如双因素令牌卡或生物认证等) 后, 在所有低安全等级 (例如证书认证) 或相同安全等级的应用中单点登录; (3) 支持多种域名之间的单点登录; (4) 支持WEB应用、J2EE应用、.Net应用、ERP/CRM (SAP, Siebel, PeopleSoft, Oracle) 应用的单点登录。
SAM实现单点登录, 用户的身份可以在服务器之间传递, 免去了重复登录。当一个用户在SAM得到认证之后, 一个包含用户必要区间信息的加密cookie就产生了。这个cookie通过128位对称密码加密。用户后来在访问由SAM保护的不同的资源时, 那些信息就被解密并用来识别用户的身份, 而不需要再次认证。
SAM同时也实现跨域的单点登录。当用户在单独的一个互联网域中得到认证以后, 在他们访问其他域的被保护的资源或应用软件时就不需要再次认证。这的确是一个关键的功能, 尤其对于那些拥有多个部门或是跨国业务的企业而言。
图3表明了SAM如何为不同平台, 服务器和不同域的应用程序提供单点登陆服务:
3.3 统一授权
基于角色的安全策略管理:SAM实现以用户为中心的基于角色的安全策略管理。SAM是一种以用户为中心, 基于角色的安全策略控制。“以用户为中心”是指对所有应用系统资源的安全访问控制管理是围绕用户和用户组或角色来进行的, “基于策略”意味着访问许可由一系列访问规则进行界定, 规则再与用户或用户组或角色相联系而形成了策略。
规则=资源+动作+区域+[规则扩展]
策略=用户组+规则+响应+IP地址+时间+[策略扩展]
系统采用的基于角色的用户管理策略。系统管理员把应用的资源化分成不同的资源域, 系统的用户被放在不同的用户目录中, 并具有不同的身份和其他属性。不同的应用定义不同的访问控制任务和访问控制角色。管理人员再定义一系列不同的访问规则, 如用户认证规则, 授权规则和响应规则, 实现应用的访问控制。
上面的公式就是统一用户权限管理的安全模型的核心。在技术上, 就是由策略服务器来容纳策略定义, 并通过连接插件连接到税务系统的数据库、目录服务器上, 再通过统一的元数据库来管理对机构的信息进行访问。从而实现以下功能:
用户授权管理:使管理者易于通过所有的应用软件和平台管理大量用户的特权和授权。
单点登录的认证管理:提供多种认证方法和用户跨平台、跨应用系统甚至是跨网域的单点登录能力。
3.4 统一审计
统一审计各个层面的安全事件, 包括证书系统的事件, IAM的授权事件、用户验证事件、用户访问事件等, Oracle数据库的事件, 应用系统的事件等。
3.4.1 跨平台事件管理
Audit收集来自异构环境的审计日志, 这些环境包括UNIX、Windows NT/2000、OS/390和Oracle, 还有Netscape、Apache等领先的网络服务器, 以及通过AP呼叫和支持SNMP的第三方应用环境。对于每天需要处理众多未经授权的访问和恶意侵袭的电子商务系统管理员而言, Audit所具有的跨平台关联事件和识别异常活动模式的能力使其成为一个十分有价值的解决方案。
Audit从各种数据源收集安全审计数据, 然后过滤这些数据, 根据这些数据自动进行处理, 将其在一个或多个位置展现出来;Audit提供将管理和安全审计记录跨平台合并到一个商业关系型数据库中的功能。客户可以从Microsoft Access、Oracle和SQL Server等版本中选取。
3.4.2 异常探测
通过现成的策略, 对主机异常进行探测, 通过关联分析, 可以判断是否有可疑的主机入侵行为。通过自动的模式匹配智能和鉴定侵袭模式语言, Audit能够在可疑事件发生时启动一系列防御措施, 例如向客户发送报警电子邮件或弹出报警窗口、生成SNMP Traps以及自动拒绝访问等。Audit还提供高效的预定义策略防止入侵并对损害进行自动控制。此外, 一旦由于侵袭而导致法律纠纷, Audit记录的信息还将成为非常重要的证据。
4 结束语
本方案的4A统一安全平台的建设, 对现有应用不需要大量改造, 快速把各现有应用的认证、授权、用户、审计整合统一;新的应用在统一安全平台上可以迅速部署, 从而形成构建在国际安全标准上的某客户业务应用的4A统一安全平台。
摘要:介绍了4A安全平台的必要性, 给出了安全平台的整体架构, 并对关键业务流程给予了说明。
深基坑工程安全监测方案设计 第4篇
关键词:引言方案设计工程实践
0引言
现代化的建设促进了我国建筑业的飞速发展,由于城市用地价格昂贵,高层建筑在各地如雨后春笋般兴建起来,为提高土地的空间利用率,地下室由一层发展到多层,同时,一定的基础深度也是为了满足高层建筑抗震和抗风等的结构要求,深基坑的施工便越来越多。
在深基坑的施工过程中,为了对基坑工程的安全性和对周围环境的影响有全面的了解,对基坑开挖到下一个施工工况时的受力和变形的数值和趋势进行预测,确保基坑支护结构和相邻建筑物的安全,以确保工程的顺利进行,在出现异常情况时及时反馈,并采取必要的工程应急措施,甚至调整施工工艺或修改设计参数,同时积累工作经验,为提高基坑工程的设计和施工的整体水平提供依据。因此,必须制定合理的监测方案,对基坑支护结构、基坑周围的土体和相邻的建筑物进行全面、系统的监测。
1监测方案设计
监测方案必须建立在对工程场地地质条件、基坑围护设计和施工方案以及基坑工程相邻环境详尽的调查基础之上。同时还需与工程建立单位、施工单位、监理单位、设计单位以及管线主管单位和道路监察部门充分地协商。
基坑工程施工现场监测的内容分为两大部分,即围护结构和支撑体系,周围土体和相邻环境。
1.1控制点设置控制点是整个监测的基准,所以在远离基坑的比较安全的地方布设。每次监测时,均应检查控制点本身是否受环境影响或破坏,确保监测结果的可靠性。
1.1.1平面控制网的布设平面控制网应为独立控制网。控制点的埋设,应以工程的地质条件为依据,因地制宜进行,均应采用强制对中观测墩,对于自由等边三角形所组成的规则网形,当边长在200m以内时,测角网具有较好的点精度。
1.1.2水准基点的布设水准基点作为沉降监测基准的水准点,一般设置三个水准点构成一组,要求埋设在基岩上或在沉降影响范围之外稳定的建筑物基础上,作为整个高程变形监测控制网的起始点。
1.2围护结构和支撑体系的监测
1.2.1围护干墙顶水平位移、沉降的监测在围护墙项设置水平位移观测点兼作沉降观测点,测点采用钢筋桩预埋在桩顶上,钢筋上刻上十字丝作为点位观测用。测点间距的确定主要考虑能据此描绘出基坑围护结构的变化曲线。
在开挖基坑之前,即对钢筋桩顶进行坐标和高程观测,并记录初始值,水平位移观测若使用的仪器为全站仪,观测会比较方便,每次观测时,采用盘左盘右坐标取平均。沉降观测仪器为精密水准仪,铟钢尺,每次沉降监测工作,均采用环形闭合方法或往返闭合方法进行检查,闭合差的大小应根据不同情况的监测要求确定。
1.2.2桩体的深层水平位移基坑开挖中,桩体侧向变形是最重要的监测项目。通常采用测斜仪测量,将围护桩在不同深度上點的水平位移按一定比例绘制出水平位移随深度变化的曲线。
测量时首先将测头导轮卡置在预埋测斜导管的导槽内,轻轻将测头放入测斜导管中,放松电缆使测头滑至孔底,记下深度标志。当触及井底时,应避免激烈的冲击,测头在孔底停置5rain,以便在孔内温度下稳定。将测头拉起至最近深度标志做为测读起点,每0.5米测读一个数,利用电缆标志测读测头至导管顶端为止,每次测读时都应将电缆对准标志并拉紧,以防读数不稳。将测头掉转180度重新放入测斜导管中,将其滑至孔底,重复上述操作在相同的深度标志测读,以保证测量精度,导轮在正反向导槽的读数将抵消或减少传感器的偏值和轴对准所造成的误差。
1.2.3支撑的稳定性支撑的稳定性是控制整个基坑稳定的重要因素之一,有钢支撑和钢筋混凝土支撑等,支撑轴力监测对了解支攀的受力状况,保障支撑安全有着重要意义。考虑到支撑布置情况,按最不利工况,可选择其中的几条支撑进行轴力监测。
1.3周围土体的监测基坑开挖必定会引起邻近基坑周围土体的变形。过量的变形将影响邻近建筑物和市政管线的正常使用,甚至导致破坏。因此,必须在基坑施工期间对它们的变形进行监测。
1.8.1深层水平位移监测可在土体关键部位埋设测斜管,用测斜仪对土体深层水平位移进行监测,同样绘制水平位移—深度变化曲线。
1.3.2地下水位的监测水位监测采用测水位高程方法,先在设计点位钻孔,然后下入PVC过滤管,填砾,并测得孔内稳定水位,成井后,用电阻水位仪定期测量孔内水位埋深。
1.4相邻环境监测
1.4.1建筑物变形监测建筑物的变形监测可以分为沉降监测、水平位移监测和裂缝监测等部分内容。沉降监测、水平位移监测方法同2、2的(1)。
当建筑物发生裂缝时,应先对裂缝进行编号,然后监测裂缝的位置、走向、长度及宽度等。根据裂缝的情况选择代表性的位置于裂缝两侧各埋设一个标点,定期的测定两个标点间距离变化值,以此来掌握裂缝的发展情况。
1.4.2路面、管线沉降监测城市地区的道路与地下管线网是城市生活的命脉,其安全与人民生活和国民经济紧密相连。因此作好它们的安全监测是非常重要的。根据基坑工程的设计和施工方案对可能产生的最大沉降量作出预估,采取主动的保护措施。
1.5监测期限、频率和预警值自围护结构施工开始至地下室侧壁回填土完毕,根据工程工期进度安排,基坑监测时间与基坑施工保持同步。
各监测项目在基坑开挖前测初值。此观测值是计算变形(变化)量的起始值,观测时特别认真仔细。并连续观测2次,没有发现异常取平均值作初值。在开挖卸载急剧阶段,当变形超过有关标准或场地变化较大时,应加密观测,间隔时间不超过一天:当大、暴雨或基坑荷载条件改变时应及时监测;当有危险事故征兆时,应连续观测。
基坑施工监测的预警值就是设定一个定量化指标系统,在其容许范围内认为是安全的,且不对周围环境产生有害影响。预警值的确定应满足相关规范规程设计的要求,以及各保护对象的主管部门提出的要求,还应结合考虑基坑规模、工程地质和水文地质条件等因素。桩+型钢内支撑”的围护结构。为保证古建筑文物(万木草堂)及基坑的安全性,在基坑施工全过程中,按照设计方案对基坑支护结构、基坑周围的土体和相邻的建筑物进行了全面系统的监测,尤其要把万木草堂的监测作为重中之重。基坑周围已有建筑物位移、沉降监测点位置及观测路线。
2.2监测结果围护桩的施工中,位于基坑最近处一扇旧墙上的SP11SP12两个观测点的位移经历了从平稳到突变,由于围护桩的施工,使墙体发生了位移。SP117月15日变化值开始变大,其中7月17日变化量突增,变化量达5.32mm。SP1点从7月16日变化值开始变大从7月17日变化量突增,日变化量达4.71mm。立即向有关部门进行了汇报,采取措施进行了加固,使墙体趋向稳定;
2工程实践
2.1工程概况广州万木草堂复建商场位于中山四路与文德路交叉处,由广州城市复建有限公司开发,属市重点工程。
基坑距万木草堂相当近,最远处不超过5米,万木草堂是省重点古建筑文物保护对象,由于万木草堂建成时间较久,建筑结构简单,虽经修护,但被破坏的可能性较大。在基坑施工过程中,如果基坑发生大的变形,必然会对万木草堂古建筑产生相当大的影响,甚至会对万木草堂产生大的破坏。由于基坑较深,采用钴(挖)孔桩+搅拌桩体在C2点1米深处位移最大,为16.59mm,但没有达到预警值:2004年7月7日安装钢支撑,使位移量减小,2004年7月13日桩体趋于稳定。C2测斜图(列出了部分特征曲线)如图2所示:
其它监测项目基本都保持稳定状态,监测值均没有达到预警值。
3结束语
网络安全设计方案 第5篇
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求
网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求 防止IP地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理 记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理 第二章、某校园网方案设计 2.1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性
能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的 尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如
果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击 通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故
障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息
的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。
NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。 第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消IP转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
B.对来自外部(和内部)攻击的反应能力 目前常见的来自外部的攻击方式主要有: a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。
b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。
C.透明代理的采用 应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。
目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:
内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:
1.用ARP代理实现路由器和子网的透明连接(网络层)2.用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价: CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对
硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?
b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管
理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上
硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。c. 100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数 量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块)NAT模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块
流量统计与计费模块 审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d. 功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;%3Fid%3D1974 上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下 Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让 IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
安全组织设计方案 第6篇
天津滨海支行网点,一、设计依据:
本方案依据《银行营业场所风险等级和防护级别的规定》GA38-2004;《安全技术规范》GB50348-2004;《安全防范工程程序与要求》(GA/T75)、《防弹复合玻璃》GA165-1997、《防盗安全门通用技术标准》GB17565, 《机械防盗锁》GA/T73及公安部第86号令,《银行营业场所透明防护屏障安装规范》GA518-2004、《银行营业场所安全防范工程设计规范》GB/T16676-1996等国家标准,参照该营业网点的房屋结构特点、遵照施工及验收规范规程、标准和主要法规及其他要求编制。
二、设计说明:
东亚银行(中国)有限公司天津分行天津滨海支行网点,项目地址位于中国天津经济技术开发区第一大街 79 号泰达 MSD-C 区 C3-603/604 单元处,经上级批准,对该支行进行装修,建筑面积317㎡,为框架式结构,风险等级及防护级别为二级。
三、工程概况: 该工程为二级风险防护级别,根据区域功能设计依次为:营业大厅、封闭式现金区、对公柜台区、理财室、更衣室、卫生间、;安装防尾随联动门、现金柜台、临存间、资料室、后办公区、机房。临街出入口为不锈钢有框防弹玻璃门,临街窗为不锈钢防弹玻璃窗,设备间安装防盗门。
四、物防细化方案
1、防弹玻璃柱:柜台砌筑前测量放线,在防弹玻璃柱预定位置预埋钢板,顶部用φ12膨胀螺栓固定200㎜*200㎜*8㎜厚钢板,并与50mm*100mm*4mm防弹玻璃柱焊接牢固(焊接质量与工艺要求符合JGJ18中规定)。
2、柜台基座:采用实心砖砌筑墙体(实际完成面达到500mm),使墙体与地面形成可靠连接。墙体两面抹灰,砂浆标号为M10。防弹玻璃柱深入墙体部分周围甩空50mm用砂浆灌牢。柜台高度为800mm,台面宽度为800mm。
3、过钱槽:采用300㎜×200㎜×150㎜不锈钢过钱槽,与台面粘接牢固。
4、防弹玻璃:采用天津市万泰玻璃安防器材制造有限公司生产的万泰牌F79B-26-WTI防弹玻璃,防弹玻璃高度1700mm,宽度为1550mm 5块,两面用20mm*40mm*2mm矩形管与防弹玻璃柱焊接固定防弹玻璃,使防弹玻璃嵌入柱体内40mm,金属与防弹玻璃之间安装软木衬垫。
5、上部横梁:上装饰梁焊钢结构架,梁内作防护栏,φ16圆钢焊制,间距150mm,刷防锈漆。吊顶内与原顶之间做全封闭防护栏,材料为φ16圆钢焊制,横纵间距150mm,与顶梁及防弹玻璃柱焊制成统一整体,焊接质量与工艺符合JGJ18中的规定。
6、防尾随联动门:现金柜员区与营业厅出入口安装山西太原市警鹰保险柜制造有限公司生产的警鹰牌FLAM-TM防尾随联动门1套。
7、防盗门:设备间出入口采用天津市龙甲门业有限公司生产的龙甲牌
防盗门。
8、门窗:营业厅与外界出口为不锈钢防弹玻璃有框门。做法采用20mm*40mm*2mm矩形管与框架焊牢,固定防弹玻璃,使防弹玻璃嵌入口内40mm,玻璃两侧及底部加垫软木,外扣不锈钢型材,封玻璃胶。防弹玻璃门为上下双锁防护,提前固定锁套,锁为手动翻舌三保险锁具,与门下坎焊接安装。锁具符合机械防盗锁GA/T73要求,临街窗为防弹玻璃窗。单块面积不大于4m2,二层临街窗为内置不锈钢防护栏窗。
9、办公区:矿棉板吊顶,墙面批灰刷乳胶漆。
10、自助机具安装:在相应位置将自助机具摆放到位,用φ12膨胀螺栓将机器底座与地面连接牢固,并将螺栓螺母焊牢。利用营业厅内电源,将电源线穿金属线管并置于机器底部相应位置。机器外探部分安装防护罩加以保护。
11、设备间:矿棉板吊顶,墙体刮腻子刷乳胶漆,地面为防静电架空地板,入口加装龙甲牌防盗门。
12、外围轻砌块墙体:均做钢筋编网,采用φ16钢筋@120编网,骨架为6#槽钢,间跨小于3米。
天津华惠安信装饰工程公司
